Bedrohungsanalyse in Microsoft Defender XDR

Gilt für:

• Microsoft Defender XDR

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Die Bedrohungsanalyse ist unsere produktinterne Threat Intelligence-Lösung von Microsoft-Sicherheitsexperten. Sie wurde entwickelt, um Sicherheitsteams dabei zu unterstützen, so effizient wie möglich zu sein, während sie neuen Bedrohungen ausgesetzt sind, z. B.:

• Aktive Bedrohungsakteure und ihre Kampagnen
• Beliebte und neue Angriffstechniken
• Kritische Sicherheitsrisiken
• Häufige Angriffsflächen
• Weit verbreitete Schadsoftware

Sehen Sie sich dieses kurze Video an, um mehr darüber zu erfahren, wie Bedrohungsanalysen Ihnen helfen können, die neuesten Bedrohungen zu verfolgen und sie zu stoppen.

Sie können auf Bedrohungsanalysen entweder über die obere linke Seite der Navigationsleiste Microsoft Defender XDR oder über eine dedizierte Dashboard Karte zugreifen, die die wichtigsten Bedrohungen für Ihre Organisation anzeigt, sowohl in Bezug auf die bekannten Auswirkungen als auch in Bezug auf Ihre Offenlegung.

Wenn Sie Sichtbarkeit über aktive oder laufende Kampagnen erhalten und wissen, was zu tun ist, können Sie Ihrem Security Operations-Team mit Bedrohungsanalysen helfen, fundierte Entscheidungen zu treffen.

Mit komplexeren Angreifern und neuen Bedrohungen, die häufig und weit verbreitet auftreten, ist es wichtig, schnell in der Lage zu sein:

• Erkennen und Reagieren auf neue Bedrohungen
• Erfahren Sie, ob Sie derzeit angegriffen werden
• Bewerten der Auswirkungen der Bedrohung auf Ihre Ressourcen
• Überprüfen Sie Ihre Resilienz gegenüber den Bedrohungen oder deren Gefährdung.
• Identifizieren sie die Maßnahmen zur Entschärfung, Wiederherstellung oder Prävention, die Sie ergreifen können, um die Bedrohungen zu stoppen oder einzudämten.

Jeder Bericht enthält eine Analyse einer nachverfolgten Bedrohung und umfassende Anleitungen zur Abwehr dieser Bedrohung. Es enthält auch Daten aus Ihrem Netzwerk, die angeben, ob die Bedrohung aktiv ist und ob sie über entsprechende Schutzmaßnahmen verfügen.

Bedrohungsanalyse-Dashboard anzeigen

Die security.microsoft.com/threatanalytics3 (Threat Analytics Dashboard) hebt die Berichte hervor, die für Ihre organization am relevantesten sind. Es fasst die Bedrohungen in den folgenden Abschnitten zusammen:

• Neueste Bedrohungen: Listet die zuletzt veröffentlichten oder aktualisierten Bedrohungsberichte zusammen mit der Anzahl aktiver und aufgelöster Warnungen auf.
• Bedrohungen mit hohen Auswirkungen – listet die Bedrohungen auf, die die größten Auswirkungen auf Ihre organization haben. In diesem Abschnitt werden die Bedrohungen mit der höchsten Anzahl aktiver und behobener Warnungen zuerst aufgelistet.
• Höchste Exposition: Listet Bedrohungen auf, denen Ihre Organisation am meisten ausgesetzt ist. Ihre Expositionsstufe für eine Bedrohung wird anhand von zwei Informationen berechnet: wie schwerwiegend die mit der Bedrohung verbundenen Sicherheitsrisiken sind und wie viele Geräte in Ihrer organization von diesen Sicherheitsrisiken ausgenutzt werden könnten.

Wählen Sie im Dashboard eine Bedrohung aus, um den Bericht für diese Bedrohung anzuzeigen. Sie können auch das Feld Search auswählen, um eine Schlüsselwort (keyword) einzuschlüsseln, die sich auf den Bedrohungsanalysebericht bezieht, den Sie lesen möchten.

Anzeigen von Berichten nach Kategorie

Sie können die Bedrohungsberichtsliste filtern und die relevantesten Berichte nach einem bestimmten Bedrohungstyp oder nach Berichtstyp anzeigen.

• Bedrohungstags: Unterstützen Sie bei der Anzeige der relevantesten Berichte gemäß einer bestimmten Bedrohungskategorie. Zum Beispiel enthält das Ransomware-Tag alle Berichte im Zusammenhang mit Ransomware.
• Berichtstypen: Unterstützen Sie beim Anzeigen der relevantesten Berichte gemäß einem bestimmten Berichtstyp. Das Tag Tools & Techniken enthält beispielsweise alle Berichte, die Tools und Techniken abdecken.

Die verschiedenen Tags verfügen über entsprechende Filter, die Sie bei der effizienten Überprüfung der Bedrohungsberichtsliste und beim Filtern der Ansicht basierend auf einem bestimmten Bedrohungstag oder Berichtstyp unterstützen. Beispielsweise, um alle Bedrohungsberichte im Zusammenhang mit der Ransomware-Kategorie oder Bedrohungsberichte anzuzeigen, die Sicherheitsrisiken beinhalten.

Das Microsoft Threat Intelligence-Team hat jedem Bedrohungsbericht Bedrohungstags hinzugefügt. Derzeit sind vier Bedrohungstags verfügbar:

• Ransomware
• Phishing
• Sicherheitsrisiko
• Aktivitätsgruppe

Bedrohungstags werden oben auf der Seite "Bedrohungsanalyse" angezeigt. Es gibt Leistungsindikatoren für die Anzahl der verfügbaren Berichte unter jedem Tag.

Um die Berichtstypen festzulegen, die in der Liste angezeigt werden sollen, wählen Sie Filter aus, wählen Sie aus der Liste aus, und wählen Sie Übernehmen aus.

Wenn Sie mehrere Filter festgelegt haben, kann die Liste der Bedrohungsanalyseberichte auch nach Bedrohungstag sortiert werden, indem Sie die Spalte Bedrohungstags auswählen:

Bedrohungsanalysebericht anzeigen

Jeder Bericht zur Bedrohungsanalyse enthält Informationen in mehreren Abschnitten:

• Übersicht
• Analystenbericht
• Verwandte Vorfälle
• Betroffener Ressourcen
• Verhinderte E-Mail-Versuche
• Risikominderungen &

Übersicht: Schnelles Verstehen der Bedrohung, Bewerten ihrer Auswirkungen und Überprüfen der Schutzmaßnahmen

Der Abschnitt Übersicht bietet eine Vorschau des detaillierten Analystenberichts. Es enthält auch Diagramme, die die Auswirkungen der Bedrohung auf Ihre organization und Ihre Offenlegung durch falsch konfigurierte und nicht gepatchte Geräte hervorheben.

Bewerten der Auswirkungen auf Ihre organization

Jeder Bericht enthält Diagramme, die Informationen über die Auswirkungen einer Bedrohung auf die Organisation liefern:

• Verwandte Vorfälle – bietet eine Übersicht über die Auswirkungen der nachverfolgten Bedrohung auf Ihre organization mit den folgenden Daten:
  • Anzahl aktiver Warnungen und Anzahl aktiver Incidents, denen sie zugeordnet sind
  • Schweregrad aktiver Vorfälle
• Warnungen im Zeitverlauf – zeigt die Anzahl der zugehörigen aktiven und aufgelösten Warnungen im Laufe der Zeit an. Die Anzahl der aufgelösten Warnungen gibt an, wie schnell Ihr organization auf Warnungen reagiert, die einer Bedrohung zugeordnet sind. Im Idealfall sollte das Diagramm Warnungen anzeigen, die innerhalb weniger Tage behoben wurden.
• Betroffener Bestand: Zeigt die Anzahl der unterschiedlichen Geräte und E-Mail-Konten (Postfächer) an, die derzeit mindestens eine aktive Warnung im Zusammenhang mit der nachverfolgten Bedrohung aufweisen. Warnungen werden für Postfächer ausgelöst, die Bedrohungs-E-Mails empfangen haben. Überprüfen Sie sowohl Richtlinien auf Organisationsebene als auch auf Benutzerebene auf Außerkraftsetzungen, die die Zustellung von Bedrohungs-E-Mails verursachen.
• Verhinderte E-Mail-Versuche: Zeigt die Anzahl der E-Mails aus den letzten sieben Tagen an, die entweder vor der Zustellung blockiert oder an den Junk-E-Mail-Ordner übermittelt wurden.

Überprüfen der Sicherheitsresilienz und des Sicherheitsstatus

Jeder Bericht enthält Diagramme, die einen Überblick darüber bieten, wie resilient Ihr organization gegen eine bestimmte Bedrohung ist:

• Sichere Konfiguration status – zeigt die Anzahl der Geräte mit falsch konfigurierten Sicherheitseinstellungen an. Wenden Sie die empfohlenen Sicherheitseinstellungen an, um die Bedrohung zu mindern. Geräte gelten als sicher , wenn sie alle nachverfolgten Einstellungen angewendet haben.
• Patchen von Sicherheitsrisiken status – zeigt die Anzahl der anfälligen Geräte an. Wenden Sie Sicherheitsupdates oder Patches an, um Sicherheitsrisiken zu beheben, die von der Bedrohung ausgenutzt werden.

Analystenbericht: Erhalten Sie Experteneinblicke von Microsoft-Sicherheitsexperten

Lesen Sie im Abschnitt Analystenbericht den ausführlichen Bericht von Experten durch. Die meisten Berichte enthalten detaillierte Beschreibungen von Angriffsketten, einschließlich Taktiken und Techniken, die dem MITRE ATT&CK-Framework zugeordnet sind, umfassende Listen mit Empfehlungen und leistungsstarke Anleitungen zur Bedrohungssuche .

Weitere Informationen zum Analystenbericht

Verwandte Vorfälle: Anzeigen und Verwalten verwandter Vorfälle

Auf der Registerkarte Verwandte Vorfälle finden Sie eine Liste aller Vorfälle im Zusammenhang mit der nachverfolgten Bedrohung. Sie können Vorfälle zuweisen oder Warnungen verwalten, die mit jedem Vorfall verknüpft sind.

Beeinträchtigte Ressourcen: Abrufen einer Liste der betroffenen Geräte und Postfächer

Eine Ressource gilt als betroffen, wenn sie von einer aktiven, nicht behobenen Warnung betroffen ist. Auf der Registerkarte Betroffene Ressourcen werden die folgenden Arten von betroffenen Ressourcen aufgelistet:

• Beeinträchtigte Geräte: Endpunkte, die nicht aufgelöste Microsoft Defender for Endpoint Warnungen aufweisen. Diese Warnungen werden in der Regel bei Sichten bekannter Bedrohungsindikatoren und Aktivitäten ausgelöst.
• Beeinträchtigte Postfächer: Postfächer, die E-Mail-Nachrichten empfangen haben, die Microsoft Defender for Office 365 Warnungen ausgelöst haben. Während die meisten Nachrichten, die Warnungen auslösen, in der Regel blockiert werden, können Richtlinien auf Benutzer- oder Organisationsebene Filter außer Kraft setzen.

Verhinderte E-Mail-Versuche: Anzeigen blockierter oder junkter Bedrohungs-E-Mails

Microsoft Defender für Office 365 blockiert in der Regel E-Mails mit bekannten Bedrohungsindikatoren, einschließlich bösartiger Links oder Anlagen. In einigen Fällen senden proaktive Filtermechanismen, die auf verdächtige Inhalte prüfen, stattdessen Bedrohungs-E-Mails an den Junk-E-Mail-Ordner. In beiden Fällen ist die Wahrscheinlichkeit, dass Schadsoftwarecode auf dem Gerät gestartet wird, geringer.

Auf der Registerkarte Verhinderte E-Mail-Versuche werden alle E-Mails aufgelistet, die entweder vor der Zustellung blockiert oder von Microsoft Defender for Office 365 an den Junk-E-Mail-Ordner gesendet wurden.

Exposition und Entschärfungen: Überprüfen Sie die Liste der Risikominderungen und die status Ihrer Geräte.

Überprüfen Sie im Abschnitt Risikominderungen & die Liste der spezifischen empfehlungen, die Ihnen helfen können, die Resilienz Ihrer Organisation gegen die Bedrohung zu erhöhen. Die Liste der nachverfolgten Risikominderungen umfasst Folgendes:

• Sicherheitsupdates – Bereitstellung unterstützter Softwaresicherheitsupdates für Sicherheitsrisiken, die auf integrierten Geräten gefunden wurden
• Unterstützte Sicherheitskonfigurationen
  • Aus der Cloud gelieferter Schutz
  • Schutz vor potenziell unerwünschten Anwendungen (Potentially Unwanted Applications, PUA)
  • Echtzeitschutz

Die Risikominderungsinformationen in diesem Abschnitt enthalten Daten aus Microsoft Defender Vulnerability Management, die auch detaillierte Drilldowninformationen aus verschiedenen Links im Bericht enthalten.

Abschnitt "Risikominderungen &" eines Bedrohungsanalyseberichts

Einrichten von E-Mail-Benachrichtigungen für Berichtsupdates

Sie können E-Mail-Benachrichtigungen einrichten, die Ihnen Updates zu Bedrohungsanalyseberichten senden. Führen Sie zum Erstellen von E-Mail-Benachrichtigungen die Schritte unter Abrufen von E-Mail-Benachrichtigungen für Updates der Bedrohungsanalyse in Microsoft Defender XDR aus.

Zusätzliche Berichtsdetails und Einschränkungen

Hinweis

Im Rahmen der einheitlichen Sicherheitsumgebung ist die Bedrohungsanalyse jetzt nicht nur für Microsoft Defender for Endpoint verfügbar, sondern auch für Microsoft Defender for Office 365 Lizenzinhaber.

Wenn Sie das Microsoft 365-Sicherheitsportal (Microsoft Defender XDR) nicht verwenden, können Sie auch die Berichtsdetails (ohne die Microsoft Defender für Office-Daten) im Microsoft Defender Security Center-Portal ( Microsoft Defender for Endpoint).

Für den Zugriff auf Bedrohungsanalyseberichte benötigen Sie bestimmte Rollen und Berechtigungen. Weitere Informationen finden Sie unter Benutzerdefinierte Rollen in der rollenbasierten Zugriffssteuerung für Microsoft Defender XDR.

• Zum Anzeigen von Warnungen, Vorfällen oder betroffenen Ressourcendaten benötigen Sie Berechtigungen zum Microsoft Defender für Office oder Microsoft Defender for Endpoint Warnungsdaten oder beides.
• Um verhinderte E-Mail-Versuche anzuzeigen, müssen Sie über Berechtigungen zum Microsoft Defender für Office-Huntingdaten verfügen.
• Zum Anzeigen von Entschärfungen benötigen Sie Berechtigungen für Defender-Daten zur Verwaltung von Sicherheitsrisiken in Microsoft Defender for Endpoint.

Beachten Sie beim Betrachten der Bedrohungsanalysedaten die folgenden Faktoren:

• Diagramme spiegeln nur Risikominderungen wider, die nachverfolgt werden. Überprüfen Sie die Berichtsübersicht auf zusätzliche Risikominderungen, die in den Diagrammen nicht angezeigt werden.
• Entschärfungen garantieren keine vollständige Resilienz. Die bereitgestellten Entschärfungen spiegeln die bestmöglichen Maßnahmen wider, die zur Verbesserung der Resilienz erforderlich sind.
• Geräte werden als "nicht verfügbar" gezählt, wenn sie keine Daten an den Dienst übertragen haben.
• Antivirenstatistiken basieren auf Microsoft Defender Antiviruseinstellungen. Geräte mit Antivirenlösungen von Drittanbietern können als "verfügbar" angezeigt werden.

Verwandte Artikel

• Proaktives Auffinden von Bedrohungen mit erweiterter Suche
• Grundlegendes zum Abschnitt "Analystenbericht"
• Bewerten und Beheben von Sicherheitsschwächen und -risiken

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.